iptables常用实例

回复 收藏
本帖最后由 qidi2015 于 2016-4-17 16:19 编辑

开始前,最好把现有的规则保存一份
[root@di09 ~]# iptables-save > ipt.rule
然后iptables -F 清空规则 免得影响我们实验
1、本机ping通外网,外网ping不通本机
iptables -I INPUT -p icmp --icmp-type 8 -j DROP   #把入站的icmp请求包丢弃
或者
iptables -I OUTPUT -p icmp --icmp-type 0 -j DROP
DROP比较暴力,插入上面的规则后,用Windows去ping我们的实验机器,直接显示“请求超时”
如果我们用 iptables -I INPUT -p icmp --icmp-type 8 -j REJECT  (REJECT拒绝数据包通过,必要的时候会给发送端一个回应信息,比方说抓了对方的人,给对方带句话,人是我们抓的。)
如果用REJECT的话。ping 的回显是如下所示,无法连到端口
来自 192.168.0.185 的回复: 无法连到端口。

2、只允许指定的ip通过SSH登录到本机
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
这里要注意,虚拟机用NAT模式的话,从真机进入虚拟机的源IP,应该是VMnet8的IP地址。


3、开放多个端口,如web和ftp
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT

4、开放一个端口段,有些变态的监控需要很多端口(记得数据包要有去有回才能通)
iptables -A INPUT -p tcp --dport 3000:3389 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3000:3389 -j ACCEPT

5、阻止本机使用FTP
iptables -A OUTPUT -p tcp --dport 21 -j DROP

6、阻塞发送到特定IP地址的流量
iptables -A OUTPUT -d 59.51.78.211 -j DROP
最后 iptables-restore < ipt.rule 恢复系统默认防火墙。



7、about 默认策略
iptables -F 清空的是链规则,如果你设了 iptables -P INPUT DROP

一定要谨慎使用iptables -F ,否则你会被关在门外。




2015-04-18 21:28 举报
已邀请:
0

lyhabc

赞同来自:

帮顶
0

qq20847697

赞同来自:

不错
0

善轩昂

赞同来自:

不错,过来复习一下,嘿嘿
0

qidi2015

赞同来自:

顶老贴。
0

online189

赞同来自:

学习了

回复帖子,请先登录注册

退出全屏模式 全屏模式 回复
评分
可选评分理由: